PC extrem Langsam

Seach_788b9a · 27. Oktober 2005 um 07:07

hallo, wollte mal fragen, was ich tun kann damit mein PC seinen Leistungen entspricht …?
also hab n 2,6er und er läuft sooo langsam ud kann das nicht verstehen…=(

hier meine Logfile

Logfile of HijackThis v1.99.1
Scan saved at 07:06:38, on 27.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\FIREWALL\PNMSRV.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
D:\Programme\eMule\emule.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\KILLAS~1\LOKALE~1\Temp\Rar$EX00.047\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.type2find.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.type2find.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM…\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM…\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM…\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM…\Run: [WinPatrol] d:\PROGRA~1\WINPAT~1\winpatrol.exe
O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM…\Run: [DAEMON Tools-1033] „D:\Programme\D-Tools\daemon.exe“ -lang 1033
O4 - HKLM…\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe
O4 - HKLM…\Run: [_winadm] C:\WINDOWS\System32\winadm.exe
O4 - HKLM…\Run: [QuickTime Task] „C:\Programme\QuickTime\qttask.exe“ -atboottime
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU…\Run: [PopUpStopperFreeEdition] „D:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE“
O4 - HKCU…\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] „C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe“
O4 - HKCU…\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra ‚Tools‘ menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‚Tools‘ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Contr…
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/spsp29953…
O17 - HKLM\System\CCS\Services\Tcpip…{324A289C-6875-4693-BA8F-5105CE5EB5F8}: NameServer = 85.255.114.51,85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip…{32D9F499-E441-48FA-8815-2CAE0AC0E35B}: NameServer = 85.255.114.51,85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip…{A296A40E-1B95-436F-81B8-C6470892A391}: NameServer = 85.255.114.51,85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip…{CC03A348-ED3C-4A14-85C3-747676C8E0ED}: NameServer = 85.255.114.51 85.255.112.64
O17 - HKLM\System\CS1\Services\Tcpip…{324A289C-6875-4693-BA8F-5105CE5EB5F8}: NameServer = 85.255.114.51,85.255.112.64
O17 - HKLM\System\CS2\Services\Tcpip…{324A289C-6875-4693-BA8F-5105CE5EB5F8}: NameServer = 85.255.114.51,85.255.112.64
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe

Danke im Vorraus
MfG seach

Hinterw_ldler_37172f · 27. Oktober 2005 um 11:49

Hallo Seach

Gleich von vorn herein: So etwas solltest du zumindest im Forum Viren, Spam und Dialer posten, weil der [MOD] und die Regulars mehr mit dieser Logfile anfangen können. Es ist also nur purer Zufall…

also hab n 2,6er und er läuft sooo langsam ud kann das nicht
verstehen…=(

Ich schon und folgende Probleme sind sichtbar:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Kein Servicepack installiert, keine Sicherheitupdates durchgeführt, der IÄ mit samt seinem OjE sind total veraltet, damit wirst du immer Dauerkunde in den einschlägigen Foren sein!

Dann befinden sich einige laufende Prozesse in deinem System, von denen ich meine, das du sie überhaupt nicht benötigst:

C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
Antispyware\PavFnSvr.exe
Software\PavShld\pavprsrv.exe
D:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE
D:\Programme\eMule\emule.exe

Das sind nur ein paar Beispiele, die alle Rechenzeit unnötig verbraten und an anderer Stelle fehlen. Wer sich übrigens mit eMule beschäftigt, braucht sich auch nicht über Mal-,Spy- und Adware auf seinem PC wundern.

Warum um Himmelswillen benötigst du zwei Scanner mit PFW:

C:\Programme\Panda Software\Panda Titanium 2006 Antivirus +
Antispyware\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe

Alle deine Security-Tools kontrollieren und behindern sich gegenseitig. Sie haben es trotz aktiver Anwesenheit nicht verhindert, das folgende Spuren von Malware sich in deiner Registry befinden:
O4 - HKLM…\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra ‚Tools‘ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspo…
O17 - HKLM\System\CCS\Services\Tcpip…{324A289C-6875-4693-BA8F-5105CE5EB5F8}: NameServer = 85.255.114.51,85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip…{32D9F499-E441-48FA-8815-2CAE0AC0E35B}: NameServer = 85.255.114.51,85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip…{A296A40E-1B95-436F-81B8-C6470892A391}: NameServer = 85.255.114.51,85.255.112.64
O17 - HKLM\System\CCS\Services\Tcpip…{CC03A348-ED3C-4A14-85C3-747676C8E0ED}: NameServer = 85.255.114.51 85.255.112.64
O17 - HKLM\System\CS1\Services\Tcpip…{324A289C-6875-4693-BA8F-5105CE5EB5F8}: NameServer = 85.255.114.51,85.255.112.64
O17 - HKLM\System\CS2\Services\Tcpip…{324A289C-6875-4693-BA8F-5105CE5EB5F8}: NameServer = 85.255.114.51,85.255.112.64

[yaemu.exe] ist offensichtlich ein Trojanisches Pferd. Siehe http://tinyurl.com/br6rn

Die O17-Einträge zeigen, das dein System ständig die Verbindung zu anderen PC in einem Netzwerk sucht. Ich kann aber nicht erkennen, das es sich um ein Firmennetzwerk handelt! Ich würde eher Annehmen, auf deinem PC befindet sich ein getarnter und mit dem Internet kommunizierender Server (Wurm-Software).

Dieser Verdacht verhärtet sich dadurch, das mit dem O7-Eintrag eine System-Restriktion ausgeschaltet wurde. Was es ist, kann von hier aus nicht gesagt werden.

Beachte:
Es sind nur die Spuren von anwesender Malware, nicht diese selbst. Wenn du also irgend etwas über fixen gelesen hast, kannst du dies bei der Menge glattweg vergessen. Zudem unbekannt ist, welcher Wurm sich bei dir installiert hat. Die Malware selbst wird mit fixen nicht gelöscht.

Es gibt nur eine effektive Lösung: http://faq.jors.net/virus.html und dies wirst du so oft und so lange wiederholen, bis du begriffen hast das http://www.dingens.org/ die bessere Sicherheitslösung besitzt. Dann wird dein PC auch eine nie gezeigte Geschwindigkeit besitzen.

Um was wetten wir?

Ändere dein Sicherheitskonzept! Ich habe weder eine PFW noch einen aktiven Scanner laufen, trotzdem habe ich mir solche Einträge in die Registry seit Jahren nicht mehr geholt. Ich verlasse mich auf diese Software http://www.drive-backup.de/, die hin und wieder sogar als kostenlose Vollversion in Zeitschriften dabei war!

der hinterwälder

Ps:
Mit dem Löschen des Trojaners, so wie es dir in anderen Foren empfohlen wurde ))) wirst du keinen Erfolg besitzen! Er hat sein Werk schon getan und wird nicht mehr gebraucht.

Seach_788b9a · 27. Oktober 2005 um 13:41

Danke für die Antwort…kannst du mir sagen wo ich die ganzen Updates bekomme, die ich benötige?
(link wäre cool)
Ne frage und zwar wenn ich das Service pack 2 installiere, habe ich kein internet mehr =(
weisste was ich dagegen tunkann oder ist das Sp2 nicht so wichitg?
mfg seach

Hinterw_ldler_37172f · 27. Oktober 2005 um 16:22

Hallo Seach

Danke für die Antwort…kannst du mir sagen wo ich die ganzen
Updates bekomme, die ich benötige?

Alle auf SP2 aufsetzenden Updates bis einschlieslich Oktober 2005 bekommst du bei http://www.winfuture.de/UpdatePack

Ne frage und zwar wenn ich das Service pack 2 installiere,
habe ich kein internet mehr =(

Das ist völlig neu. Vermutlich hast du dann einen Treiber für das Modem, der nicht zu SP2 kompatibel ist. Das Beste ist, du gehst auf die Seite des Modem-Herstellers und lädst dir den neuesten aber dazu passenden Treiber herunter.

Anderseits kann ich keine Modemtreibersoftware auf der Liste von MS erkennen: http://support.microsoft.com/default.aspx?kbid=884130 Vermutlich ist das ein anderer Defekt (verursacht durch Schadsoftware?), der sich auf diese Art und Weise äußert! Diesen wirst du aber beheben, wenn du dein System völlig neu installierst.

Eine sehr ausführliche Anleitung zur Installation von Windows XP gibt es hier: http://www.timetraveler.ch/xp.html und falls du Probleme mit der grundsätzlichen Konfiguration hast, da hat die gleiche Page auch noch was Vernünftiges zu bieten: http://www.timetraveler.ch/xp-konfig.html

Statt einer Firewall konfigurierst du dein System mit diesem kleinen Tool von http://www.dingens.org/ und statt einem aktiven Scanner prüfst du deine verdächtigen Mails, Mailanhänge und Dateien bei http://virusscan.jotti.org/de/ Warum das die bessere Lösung ist, wirst du verstehen, wenn du den Inhalt dieser Page mal wirklich ernstlich betrachtest. Der Upload ist etwas gewöhnungsbedürftig, aber wenn du es einmal gemacht hast, wirst du die Seite nicht mehr missen wollen.

Weiterhin ist empfehlenswert die Optionen deiner Mailbox bei T-Online so zu stellen, das schon hier jeder übliche Spam und die meisten als infiziert erkannten Mails gefiltert und automatisch gelöscht werden. Kein Mensch wird sich darüber beschweren, wenn du seine infizierten Mails nicht öffnest oder beantwortest.

Insgesamt dürfte dieser abendfüllende Film http://ulm.ccc.de/chaos-seminar/windows-security/rec… auch für dich sehr hilfreich sein (Vergiß den dazugehörenden Player nicht). Letztlich verhalten wir uns alle so wie dort vorgeschlagen. Anschliesend hast du bestimmt mehr Freude an deinem PC und am Internet.

Und denke daran:
Die Lebensversicherung für dein System haben nicht die Hersteller seltsamer Securitysoftware sondern Paragon, Acronis oder andere. Hier http://tinyurl.com/dqb6e kannst du für 4,50€ das neueste Proggi kaufen!

der hinterwäldler